Os ciberespiões apoiados por Pequim usaram e-mails de phishing especialmente criados e seis backdoors diferentes para invadir e roubar dados confidenciais de grupos militares e industriais, agências governamentais e outras instituições públicas, de acordo com pesquisadores da Kaspersky.
Fomos informados que a equipe de resposta dos sistemas de controle industrial (ICS) da loja de segurança detectou inicialmente uma série de ataques direcionados em janeiro que comprometeram mais de uma dúzia de organizações em vários países do Leste Europeu, incluindo Bielorrússia, Rússia e Ucrânia, e Afeganistão.
“Os invasores conseguiram penetrar em dezenas de empresas e até sequestrar a infraestrutura de TI de algumas, assumindo o controle dos sistemas usados para gerenciar soluções de segurança”, escreveu a equipe em um relatório publicado na segunda-feira.
A Kaspersky atribuiu os ataques “com um alto grau de confiança” à gangue chinesa de crimes cibernéticos TA428, que tem um histórico de atacar institutos militares e de pesquisa do leste asiático e russo.
A equipe de pesquisa da ICS identificou malware e servidores de comando e controle baseados na China e acrescentou que essa série mais recente de ataques é “altamente provável” ser uma extensão de uma campanha de ciberespionagem em andamento, anteriormente detectados por outras equipes de pesquisa.
Eles também soam muito semelhantes a outra campanha, apelidada de Twisted Panda, realizada por ciberespiões chineses e visando institutos de defesa russos, descobertos pela Check Point Research em maio.
De acordo com a Kaspersky, os criminosos obtiveram acesso às redes corporativas por meio de e-mails de phishing, alguns dos quais incluíam informações específicas da organização que não estavam disponíveis publicamente.
“Isso pode indicam que os invasores fizeram um trabalho preparatório com antecedência (eles podem ter obtido as informações em ataques anteriores à mesma organização ou seus funcionários, ou a outras organizações ou indivíduos associados à organização vítima)”, explicaram os pesquisadores.
Presumivelmente, como esses ataques especialmente criados incluíam informações confidenciais sobre a organização da vítima, era mais fácil para os invasores enganar alguns funcionários para abrir o e-mail — e um documento do Microsoft Word anexado a ele. O documento do Word continha código malicioso, que explorou a vulnerabilidade CVE-2017-11882 para implantar o malware PortDoor na máquina infectada sem qualquer atividade adicional do usuário. Por exemplo, o usuário não precisava habilitar macros, como é típico nesses tipos de ataques.
O malware PortDoor é um backdoor relativamente novo que acredita-se ter sido desenvolvido por grupos patrocinados pelo estado chinês que foi também usado em um ataque de phishing em 2021 contra um empreiteiro de defesa russo que projeta submarinos nucleares para a Marinha da Federação Russa.
A Kaspersky diz que sua equipe identificou uma nova versão do PortDoor que estabelece persistência, depois coleta informações no computador infectado e pode ser usada para controlar o sistema remotamente durante a instalação de malware adicional.
Além do PortDoor, os invasores usaram seis outros backdoors para controlar os sistemas infectados e roubar dados confidenciais. Alguns deles (nccTrojan, Logtu, Cotx e DNSep) foram anteriormente atribuídos ao TA428. No entanto, um sexto backdoor, apelidado de CotScam, é novo, de acordo com a Kaspersky.
